asp.Net通用防注入程序(整站通用)

最新推荐文章于 2020-11-16 16:53:45 发布
转载 最新推荐文章于 2020-11-16 16:53:45 发布 · 718 阅读 · 0
文章标签:

#asp.net #string #application #object #email #class

本文介绍了一种通过数据验证和配置实现全面防止SQL注入攻击的方法,包括使用正则表达式检查输入参数的有效性,并通过Web.config文件指定允许的参数类型。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

出处:淘特网

注:转载请注明出处

防止sql注入,通常一个一个文件修改不仅麻烦而且还有漏掉的危险,下面我说一上如何从整个系统防止注入。

做到以下三步,相信的程序将会比较安全了,而且对整个网站的维护也将会变的简单。

一、数据验证类:
parameterCheck.cs

public class parameterCheck{
    public static bool isEmail(string emailString){
        return System.Text.RegularExpressions.Regex.IsMatch(emailString, "['//w_-]+(//.['//w_-]+)*@['//w_-]+(//.['//w_-]+)*//.[a-zA-Z]{2,4}");
    }
    public static bool isInt(string intString){
        return System.Text.RegularExpressions.Regex.IsMatch(intString ,"^(//d{5}-//d{4})|(//d{5})$");
    }
    public static bool isUSZip(string zipString){
        return System.Text.RegularExpressions.Regex.IsMatch(zipString ,"^-[0-9]+$|^[0-9]+$");
    }
}

二、Web.config

在你的Web.config文件中,在<appSettings>下面增加一个标签:如下

 

<appSettings>
    <add key="safeParameters" value="OrderID-int32,CustomerEmail-email,ShippingZipcode-USzip" />
</appSettings>


其中key是<saveParameters>后面的值为"OrderId-int32"等,其中"-"前面表示参数的名称比如:OrderId,后面的int32表示数据类型。

三、Global.asax

在Global.asax中增加下面一段:


[code]
protected void Application_BeginRequest(Object sender, EventArgs e){
    String[] safeParameters = System.Configuration.ConfigurationSettings.AppSettings["safeParameters"].ToString().Split(',');
    for(int i= 0 ;i < safeParameters.Length; i++){
        String parameterName = safeParameters[i].Split('-')[0];
        String parameterType = safeParameters[i].Split('-')[1];
        isValidParameter(parameterName, parameterType);
    }
}

public void isValidParameter(string parameterName, string parameterType){
    string parameterValue = Request.QueryString[parameterName];
    if(parameterValue == null) return;

    if(parameterType.Equals("int32")){
        if(!parameterCheck.isInt(parameterValue)) Response.Redirect("parameterError.aspx");
    }
    else if (parameterType.Equals("double")){
        if(!parameterCheck.isDouble(parameterValue)) Response.Redirect("parameterError.aspx");
    }
    else if (parameterType.Equals("USzip")){
        if(!parameterCheck.isUSZip(parameterValue)) Response.Redirect("parameterError.aspx");
    }
    else if (parameterType.Equals("email")){
        if(!parameterCheck.isEmail(parameterValue)) Response.Redirect("parameterError.aspx");
    }
}
ASP.NET 2.0通用防注入
01-25
ASP.NET 2.0通用防注入插件源代码<br>利用了httpModules对字符进行检测,仅仅对少数几个关键SQL命令进行了检测。<br>跳过了multipart/form-data类型的数据。<br>即插即用型 :)放置如bin目录。修改web.config即可。<br>将SQLINC.DLL放入bin目录。在web.config中加入<br><br><httpModules><br> <add name="Tanson.WebSite.FlowStatistics.SqlINC" type="Tanson.WebSite.FlowStatistics.SqlINC"/><br></httpModules>
ASP.NET通用防注入实用版
06-06
嘎嘎。上次是没分了抢劫了大家一次。这次发布的是使用在几个网站上面的实用版。<br>对注入的数据进行了记录,包括地址、参数、IP。
ASP.NET中防止注入攻击[翻译]
weixin_33813128的博客
03-29 191
出处: MSDN 原文地址 应用范围: ASP.NET vertion 1.1 ASP.NET vertion 2.0   概要: 文本主要介绍如何校验用户输入从而防止注入式攻击.校验用户输入是非常必要的,几乎所有程序级的攻击都包含恶意输入的手段. 你应该校验包括字段,查询字串参数,Cookie等一切用户输入项来保护你的程序免受注入攻击.你得假设所有的用户输入都是恶意的,确保在服...
ASP.NET网站防止SQL注入攻击
weixin_34090562的博客
05-05 221
目的: 对输入的字串长度,范围,格式和类型进行约束. 在开发 ASP.NET 程序时使用请求验证防止注入攻击. 使用 ASP.NET 验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端.   概述 :   你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查...
ASP.NET中防止注入攻击
我的"什么是?" -eRicSone
04-16 1863
目的:输入的字串长度,范围,格式和类型进行约束. 在开发ASP.NET程序时使用请求验证防止注入攻击. 使用ASP.NET验证控件进行输入验证. 对不安全的输出编码. 使用命令参数集模式防止注入攻击. 防止错误的详细信息被返回到客户端. 概述 :  你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端cook
ASP.NET中防止注入攻击
程序员天空
05-31 957
概述 :  你应该在程序中验证所有的不信任输入.你应该假定所有的用户输入都是非法的.用户可以在应用程序中提供表单字段,查询字串,客户端cookies和浏览器环境值比如用户代理字串和IP地址等.  弱输入校验通常为注入攻击提供了机会.下面是常见的利用弱输入校验或无输入校验进行攻击的手段.SQL 注入(SQL injection). 如果你使用用户的输入值来动态构造SQL语句,那么数据库可能执
.net 通用防注入代码
weixin_34007886的博客
01-11 175
  using System;namespace web.comm{    /**//// &lt;summary&gt;    /// ProcessRequest 的摘要说明。    /// &lt;/summary&gt;    public class ProcessRequest    {        public ProcessRequest()        {         ...
编写通用asp防注入程序
weixin_34407348的博客
04-14 185
2019独角兽企业重金招聘Python工程师标准>>> ...
ASP.NET 防注入
weixin_30319153的博客
06-08 281
一、 输入验证1. 什么是输入 输入是编译时以外的全部数据交换。WEB应用程序从各种来源获取输入,例如所有用户发送的,或者应用程序运行的往返数据(用户提交的数据、视图状态、 cookie、查询字符串参数等),以及后台数据(数据库、配置数据和其他数据来源)。所有输入的数据都会在某种情况下影响请求的处理。[1]2. 输入验证的必要性为什么输入验证如此重要?第一个原因非常明显:用户都不希望使用虚假的数...
aspnet防注入
01-20
aspnet防注入
ASP.NET中防止注入
06-25
ASP.NET中防止注入
asp.net 防SQL注入(非常简洁)
07-05
protected void Application_BeginRequest(object sender, EventArgs e) { //遍历Post参数,隐藏域除外 foreach (string i in this.Request.Form) { if (i == "__VIEWSTATE") continue; this.goErr(this.Request.Form[i].ToString()); } //遍历Get参数。 foreach (string i in this.Request.QueryString) { this.goErr(this.Request.QueryString[i].ToString()); } } private void goErr(string tm) { if (SqlFilter2(tm)) { Response.Write("无效的提交!"); Response.End(); } } public static bool SqlFilter2(string InText) { string word = "and|exec|insert|select|delete|update|chr|mid|master|or|truncate|char|declare|join"; if (InText == null) return false; foreach (string i in word.Split('|')) { if ((InText.ToLower().IndexOf(i + " ") > -1) || (InText.ToLower().IndexOf(" " + i) > -1)) { return true; } } return false; }
ASP.NET开发网站程序的安全解决方案(防注入)
09-20
ASP.NET开发网站程序的安全解决方案(防注入)
asp.net的SQL防注入过滤函数大集合
10-22
常用的asp.net的SQL防注入过滤函数大集合,实用性很高! 执行效率不错!
asp.net中防止注入式攻击
shirlly
02-16 266
概要: 本文主要介绍如何校验用户输入从而防止注入式攻击.校验用户输入是非常必要的,几乎所有程序级的攻击都包含恶意输入的手段. 你应该校验包括字段,查询字串参数,Cookie等一切用户输入项来保护你的程序免受注入攻击.你得假设所有的用户输入都是恶意的,确保在服务器端对所有的用户输入进行校验.使用基于客户端的验证可以减少页面的住返次数,改进性能,改善用户体验,但是不要仅仅依赖于此,因为客户...
asp.net 网站安全解决方案
zld1987的专栏
01-22 835
      1、sql注入漏洞。       解决办法:使用存储过程,参数不要用字符串拼接。简单改进办法:使用SqlHelper和OledbHelper       2、跨站脚本漏洞       解决办法:“默认禁止,显式允许”的策略。具体参考:从客户端检测到有潜在危险的Request.Form值,禁止提交html标记(      3、上传漏洞       解决办法:禁止上传目录的运行权限。只给读
asp.net request防sql注入_安全漏洞大揭秘:手把手教你轻松防止SQL注入
weixin_39906878的博客
11-16 694
安全漏洞大揭秘:手把手教你轻松防止SQL注入!SQL(结构化查询语言)注入是众所周知的软件弱点和安全漏洞,如果不是的话,也是最出名的漏洞之一。尽管享有盛名,但如何防止SQL注入仍然是主要漏洞之一,并且攻击持续增长。查找SQL注入根据OWASP Top 10,注入漏洞(其中SQL注入是其中一种)是Web应用程序安全性的头号问题。SQL注入在CWE Top 25中排名第六。其他类型的安全漏洞示例包括:...
通用ASP.NET防SQL注入漏洞源码解决方案
在开发使用ASP.NET技术的网络应用程序时,SQL注入是一种常见的安全漏洞。攻击者可以通过在应用程序输入中嵌入恶意SQL代码,从而篡改数据库查询,获取未经授权的数据访问权限。SQL注入攻击可以对企业的数据安全造成极...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值